AdminTool Admin Tool zeigt Google Webseite, hackt Google Server?

Status
Für weitere Antworten geschlossen.

Don Claus

Benutzer
Mitglied seit
11. Aug 2009
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Moin,
Google hat offensichtlich meine DS107+ mit DSM 3.1-1636 gehackt.
Während ich über IPad und INet auf Photos im User / PW geschützen Bereich zugegriffen habe, klinkte sich laut ApacheLog Google mit seinen Bots ein, und zwar auch auf den geschützen Verzeichnissen und Bildern..

Es existiert eine robots.txt und eine .htaccess, weil ich Botds und andere Vollpfosten so weit wie möglich sperren will.

Das Problem ist jetzt, dass im Admin Tool der Hintergrund mit einer Google Webseite gefüllt ist. Außerdem telefoniert der Server im Minutentakt "nach Hause?". Admin Tool flackert, arbeiten nicht möglich.
Offensichtlich hat Google eine script eingepflanzt, aber wo?
Mein Server ist seit dem abgeschaltet, weil im Prinzip unwichtig.Heute Morgen Schaltetet ich Ihn ein, weil ich Daten benötigte und siehe da, der erste Eintarg war ein Google Bot Eintrag.
Habe mal eine .pdf des Bildschirmausdruckes angehängt, vielleicht kann mir jemand oder Itari helfen, weil er ja sein Admin Tool auf ScriptEbene kennt.

Anhang anzeigen googlehacker.pdf
Wer kann mir helfen, dass das Admin Tool wieder sauber läuft?

gr

C.M.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
hast du das Script direkt hier aus dem Forum aus einem Thread von itari oder hast du dir das sonstwo runtergeladen?
 

Don Claus

Benutzer
Mitglied seit
11. Aug 2009
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Hallo,
das Admin Tool habe ich vor Jahren heruntergeladen, glaube aus dem Synology Forum hier. Es hat ja bis zu diesem Vorfall einwandfrei gelaufen. Ich kontrolliere damit (immer wenn Zeit ist) das Log und ändere/erweitere dann ggfls. die htaccess gegen bestimmte IP Adressen etc.
Das Tool läuft auch jetzt, aber eben mit dem "Flackern" und dieser Google Webseite im Hintergrund, die auch angeklickt werden kann !!!
Momentan habe ich den LAN Stecker gezogen, um die Syno nicht ständig rauf und runter zu fahren .
Habe schon daran gedacht, das Tool im Verzeichnis überzubügeln.

gr

Don Claus
 

derniwi

Benutzer
Mitglied seit
17. Okt 2013
Beiträge
276
Punkte für Reaktionen
0
Punkte
16
Hallo,

welche Pakete von welchen Quellen hast du sonst noch installiert?

Gruß
Nils
 

Don Claus

Benutzer
Mitglied seit
11. Aug 2009
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Hallo Nils,
habe noch phpmyadmin, Originalquelle, schon ewig drauf
webalyzer, schon ewig drauf

Wordpress 3.6.1,Originalquelle, Testinstallation, weil so grottenhaft langsam wie hier schon erörtert
und die neueste Joomla Vers. installiert, auch als Testinstallation. Von WP und Joomla bin ich der einzige User.
Alles lief bis letzte Woche, wo Google gehackt hat, einwandfrei.
WP und Joo laufen bisauf die Performanceproblem immer noch einwandfrei.
Mysql läuft sauber, ebenso Webalyzer.
Auch das Admin Tool läuft bis auf dieses neue Hintergrundbild/die Hintergrundwebseite (siehe pdf im ersten Eintrag).
Deshalb die Frage, wo könnte dieses dubiose Hintergrundbild gespeichert sein?

Falls jemand die LOG Einträge anschauen will, die habe ich herauskopiert und als txt File auf der Platte.

gr

Don Claus
 

Alfons403

Benutzer
Mitglied seit
09. Sep 2007
Beiträge
699
Punkte für Reaktionen
0
Punkte
42
Jeep!
Danke für den Hinweis, bei mir wird auch beim Admin Tool die Google Startseite
angezeigt und die ist auch in Funktion, das heist die Links funktionieren.
Das Toll ist 100% aus Atari's Quelle und seit diversen DSM Updates nicht neu
installiert worden.
Es fällt zuerst deswegen nicht auf weil der Copyright Hinweis fasst alles
verdeckt und der "Hintergrund" ein bischen verzögert aufgebaut wird.
 

Don Claus

Benutzer
Mitglied seit
11. Aug 2009
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Das Problem ist, dass jede Minute "gepollt" wird.
Alle Fenster verschwinden nacheinander kurz und kommen dann wieder, der Inhalt der Felder steht sonstwo.
So kann ich die Logs nicht sichten und andere auch schreibende Funktionen unternehmen.
Das ist definitiv ein unerwünschter Eingriff von Google, der vorher nicht war.

Deshalb die Frage, wo die Scripte zu findne sind und welches Script den normalerweise blanken Hintergrund beinhaltet.

Don Claus
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ich bin mir ziemlich sicher dass es mit der Abfrage der Außentemperatur von Frankfurt zu tun hat ... findet jemand wo das festgelegt ist, bzw. wo das AdminTool früher nachgesehen hat? Schon seltsam dass diese Seite plötzlich auf Google weiterleitet.
Ein Eingriff/Angriff von Google ist IMHO aber nicht zu erkennen! Der Browser lädt Google eindeutig nach!

MfG Matthieu
 

Don Claus

Benutzer
Mitglied seit
11. Aug 2009
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Moin Moin,
bis zu besagtem Überfall von Google auf meine kleine,unbedeutende Syno war der Hintergrund blank und das "Pollen" war nicht da.
Google hat sich nach dem Protokollauszug auch auf Verzeichnissen rumgetrieben, die eindeutig nur (oder sollten??) mit Username und PW zu erreichen sind.
Ergo:
Google hat etwas "eingpflanzt", um von innen heraus die Seiten zu checken.
Weitergetrieben erhöht dieses ständige Pollen die Datenmenge, die täglich über den DSL läuft und wenn man keine Flat hat!!!
mfg
 

Don Claus

Benutzer
Mitglied seit
11. Aug 2009
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Wo muss ich nach den Dateien des Admin Tool suchen?
Vielleicht fällt mir ja was auf und: da war noch was:
als ich den Angriff bemerkt habe, habe ich 2 Dateien mit google_xx_xx gefunden und umbenannt.
Dies Dateien waren im Protokoll aufgeführt.

gr
 

Merthos

Benutzer
Mitglied seit
01. Mai 2010
Beiträge
2.709
Punkte für Reaktionen
1
Punkte
84
header.cgi Zeile 50: wget -O - "http://www.google.com/ig/api?weather="$LOCATION....

Und das gibt es nicht mehr.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ergo:
Google hat etwas "eingpflanzt", um von innen heraus die Seiten zu checken.
Trugschluss. Google bemerkt (ich vermute mal per Referer im HTTP-Header), dass über eine bestimmte URL auf die eigene Seite zugegriffen wird. Man kann sich darüber streiten wie Google zu seinem Index kommt, aber zu tracken wo möglicherweise defekte Links (wie Merthos ja herausgefunden hat) herumliegen halte ich für durchaus legitim. Wird darüber viel Traffic erzeugt, kann man den Betreiber darauf aufmerksam machen.

Merthos hat ja nun die eigentliche Auflösung gepostet ...

MfG Matthieu
 

nageniil

Benutzer
Mitglied seit
18. Aug 2009
Beiträge
207
Punkte für Reaktionen
4
Punkte
18
Der Tipp von Merthos ist goldrichtig!
Neulich hatte ich nach langer Zeit mal wieder das AdminTool benutzt und mich bereits gewundert, warum da ewig "Loading" im oberen schwarzen Balken steht.
Heute getestet und das Loading verschwand, dafür kam dann die Google-Startseite.
OK: im AdminTool gibts ja unten den Punkt "Admin Tool Configuration" - hierüber die von Merthos erwähnte headre.cgi im Editor-Modus bearbeiten und die besagte Zeile auskommentieren (# davor schreiben).
Admin Tool schließen und neu aufrufen: schwups, die Googleseite ist weg.
Im schwarzen Balken oben steht zwar eine kleines "Failed to execute...", aber das lässt sich verschmerzen, das Wetter war eh nur ein netter Gag...
Wer will, kann sich ja hier einen anderen Gimmick einbauen...
 

Don Claus

Benutzer
Mitglied seit
11. Aug 2009
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Hallo, (2.Versuch nach Rauswurf wegen Zeitüberschreitung??)

Danke, Danke, fühlt euch geknutscht. Das war es.
Habe den Eintrag gefunden und eliminiert, sieht wieder alles aus wie vor dem "Google Überfall".
Auch das "Pollen/Bildflackern" ist wieder weg.
Da ich täglich mit dem Tool z.B. die Log Datei anschaue, kann ich sehr genau den Zeitraum bestimmen, seit wann das so war.

Bleibt nur noch die Frage, warum Google "Post" Befehle schickt!!

66.249.78.185 - - [14/Nov/2013:21:18:43 +0100] "POST /photo/include/ajax_handler.php HTTP/1.1" 200 212 "http://xxx/photo/photo_one.php?dir=4f6c6474696d6572&name=494d475f313236302e4a5047" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.78.185 - - [14/Nov/2013:21:18:44 +0100] "POST /photo/include/ajax_handler.php HTTP/1.1" 200 229 "http://xxx.org/photo/photo_one.php?dir=4f6c6474696d6572&name=494d475f303130332e6a7067" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.78.185 - - [14/Nov/2013:21:20:00 +0100] "POST /blog/include/article.php HTTP/1.1" 200 24 "http://xxx.org/blog/index.php?page=18" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.78.185 - - [14/Nov/2013:21:20:01 +0100] "POST /blog/modules/photo_slide.php HTTP/1.1" 200 259 "http://xxx.org/blog/index.php?page=18" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.78.185 - - [14/Nov/2013:21:20:01 +0100] "POST /blog/modules/article_collection.php HTTP/1.1" 200 130 "http://xx.org/blog/index.php?page=18" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"..

Sicher gibts dafür auch eine erklärung.

gr
PS.: die 1.Version war besser, aber nach dem Antwortversuch flog ich raus. Sind die Zeiten evtl. zu restriktiv eingestellt?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat